Yearn Finance 、DeFiジャングルの老練な猛者が、またしても打撃を受けました。
被害者は?yETH 、さまざまなステーキングされたEthereumを一つにまとめた、Yearnの洗練されたプロダクトです。
まるで宇宙のフルーツバスケットが、影のある暗号通貨の盗賊に突然襲われたかのようです。
1,000 ETHがTornado Cashへ消える
今回の強奪劇?約900万ドルがyETH stableswapプールと、その相棒であるCurve上の小規模なyETH-WETHプールから消えました。
ハッカーはプロのように振る舞い、いわゆる「低レベルの数値バグ」と「高レベルの不変管理問題」という暗号通貨専門用語(要するに「やらかした」ってことです)を組み合わせて悪用しました。
本来なら静かなはずの日曜日、誰かが無限のyETHトークンをミントし、それを本物のETHやステーキングトークンと交換し、現金の賞金とともに約1,000 ETHをTornado Cash(DeFi界のスモークボム)に持ち去りました。
11月30日21:11 UTC、yETH stableswapプールに関するインシデントが発生し、大量のyETHがミントされました。影響を受けたコントラクトは、人気のstableswapコードのカスタムバージョンであり、他のYearnプロダクトとは無関係です。Yearn V2/V3 vaultはリスクにさらされていません。
— yearn (@yearnfi) 2025年12月1日
自壊するスマートコントラクト
Yearnの対応は迅速かつやや英雄的でした。PlumeやDineroと協力し、857.49 pxETH(約240万ドル)を取り戻し、戦利品の一部を奈落から救出しました。
このプロセスは繊細で、Yearnの夜のレポートでは「高い複雑性」と表現され、最近のBalancerハックの大胆さに匹敵するとされました。
犯人はどうやってこの離れ業を成し遂げたのでしょうか?そのトリックは、悪事を働いた後に自壊し、バイトコードの痕跡を消し去る一方で、鋭い分析者のためにブロックチェーン上に手がかりを残す、巧妙なスマートコントラクトの一種を利用したものでした。
これらのコントラクトは偽のyETHトークンをミントし、プールを枯渇させ、そしてデジタルの夜にゴーストシップのように消え去りました。
数十億ドルを扱う老舗プロトコルでも無敵ではない
Yearnの公式見解は?この混乱は限定的で、yETHのカスタムコードだけが被害を受けたとのことです。
執筆時点で、Yearn Vaultsは依然として5億7,000万ドルを保持しており、今回の事件の影響は受けていません。しかし、これがYearnにとって初めての試練ではありません。
2021年以降、彼らはさまざまなエクスプロイトに巻き込まれており、yDAI vaultのハッキングによる1,100万ドルの損失や、2023年の古いyUSDTコントラクトへの攻撃などがありました。
まるで老練なカウボーイのように、Yearnは何度も撃たれながらも、決して舞台から退場しようとはしません。
DeFi愛好家にとって、今回の事件は大きな警鐘となります。数十億ドルを扱う老舗プロトコルでさえ、無敵ではありません。
yETHのエクスプロイトは、スマートコントラクトの癖と巧妙なハッカーが絡み合い、分散型金融のセキュリティがいかに綱渡りであるかを示しています。
CryptocurrencyおよびWeb3の専門家、Kriptoworldの創設者
LinkedIn | X (Twitter) | その他の記事
ブロックチェーン分野の取材経験を活かし、AndrásはDeFi、トークン化、アルトコイン、そしてデジタル経済を形作る暗号規制について洞察に満ちたレポートを提供しています。
